Instruirea angajaţilor şi revizuirea procedurilor interne, aspecte importante în protecţia datelor cu caracter personal (opinie)

Angajaţii societăţilor trebuie să cunoască şi să înţeleagă foarte bine atribuţiile pe care le au în legătură cu protejarea datelor, să aplice în cadrul activităţii regulile şi politicile care guvernează acest domeniu şi să respecte măsurile de securitate adoptate la nivelul societăţii, conform unui material de opinie realizat de consultanţi Deloitte România.

“Protecţia datelor cu caracter personal reprezintă o preocupare continuă a autorităţilor, atât la nivel local, cât şi european, în special în contextul dezvoltărilor din economia digitală, astfel că operatorii din domeniu trebuie să ţină pasul cu reglementările şi cu recomandările acestora pentru a se conforma cerinţelor legale în vigoare. În România, autoritatea competentă recomandă, pe baza aspectelor constatate în cadrul controalelor din 2021, intensificarea măsurilor organizatorice interne pentru asigurarea securităţii datelor prelucrate. Printre acestea se numără pregătirea periodică a angajaţilor, revizuirea soluţiilor tehnice, dar şi respectarea regulilor privind transferul internaţional al datelor cu caracter personal.”, se arată într-un material de opinie semnat de Sergiu Zaharia, Director, Cyber Strategy Advisory, Deloitte România, şi Silvia Axinescu, Senior Managing Associate, Reff & Asociaţii | Deloitte Legal.

Conform sursei citate, Autoritatea Naţională de Supraveghere privind Prelucrarea Datelor cu Caracter Personal (ANSPDCP) a înregistrat, în 2021, peste 5.000 de plângeri, sesizări şi notificări privind incidentele de securitate cu privire la protecţia datelor, pe baza cărora a derulat 691 de investigaţii. Pe parcursul anului, autoritatea a aplicat 36 de amenzi, în cuantum total de aproximativ 75.000 de euro. Dincolo de cifre, însă, din raportul instituţiei se desprind şi câteva aspecte importante de care operatorii ar trebui să ţină cont în perioada următoare.

“Unul dintre acestea se referă la instruirea permanentă a angajaţilor responsabili cu gestionarea datelor personale colectate de un operator. Factorul uman se dovedeşte a fi, în continuare, cel mai relevant în ceea ce priveşte asigurarea conformării privind protecţia datelor cu caracter personal. Este extrem de important ca angajaţii societăţilor să cunoască şi să înţeleagă foarte bine atribuţiile pe care le au în legătură cu protejarea datelor, să aplice în cadrul activităţii regulile şi politicile care guvernează acest domeniu şi să respecte măsurile de securitate adoptate la nivelul societăţii”, susţin consultanţii Deloitte.

De altfel, potrivit analizei, instruirea angajaţilor se numără printre măsurile corective impuse de ANSPDCP în urma constatării unor încălcări ale legislaţiei, alături de revizuirea procedurilor sau de aplicarea unor politici interne pentru asigurarea respectării cadrului legal în domeniu (precum gestionarea procesului de soluţionare a cererilor persoanelor vizate etc.).

Conform consultanţilor Deloitte, printre neregulile constate de autoritate se numără şi încălcarea măsurilor de securitate şi confidenţialitate a prelucrării de date cu caracter personal. Aşadar, un alt aspect important desprins din raportul autorităţii este cel legat de necesitatea intensificării controalelor interne, astfel încât societăţile să se asigure că aplică măsuri tehnice şi organizaţionale corespunzătoare pentru garantarea securităţii datelor.

În plus, ANSPDCP a analizat un număr impresionant de reguli corporatiste obligatorii, în calitate de autoritate principală sau autoritate de cooperare, precum şi recomandările emise în legătură cu acestea.

“Această analiză ar putea indica faptul că autoritatea intenţionează să evalueze, în perioada următoare, transferul de date către state terţe şi maniera în care sunt încheiate clauzele standard obligatorii adoptate de Comisia Europeană, în vigoare de la 27 septembrie 2021, acestea reprezentând, de altfel, cel mai des întâlnit instrument pentru fundamentarea unor astfel de transferuri.”, se menţionează în materialul de opinie.

Consultanţii Deloitte susţin că, în plus, pentru viitor, organizaţiile trebuie să îşi exerseze capacitatea de a anticipa şi de a răspunde rapid la atacurile cibernetice sau la erorile interne care intervin în procesul de protecţie a datelor cu caracter personal, astfel încât să reducă riscul de compromitere a datelor. În acest sens, este important să desfăşoare exerciţii de testare a proceselor de management al crizelor, având în vedere că incidentele de securitate cibernetică sunt deja percepute ca având cel mai mare risc asupra afacerii.

“Nu în ultimul rând, analiza preventivă a nivelului de maturitate în domeniul securităţii datelor, inclusiv a celor cu caracter personal, şi identificarea unui parcurs pentru sporirea acestuia rămân măsuri clasice, dar extrem de aplicate, menite să reducă riscul de exploatare a unor vulnerabilităţi tehnice, organizatorice şi umane, şi implicit riscul unui impact major asupra operaţiunilor, asupra reputaţiei şi, în final, de natură financiară”, mai arată analiza.